Créez un rapport consolidé des découvertes de sécurité de Prowler à partir de plusieurs Comptes AWS - Recommandations AWS
RécapitulatifConditions préalables et limitationsArchitectureOutilsÉpopéesRésolution des problèmesRessources connexesInformations supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un rapport consolidé des découvertes de sécurité de Prowler à partir de plusieurs Comptes AWS

Créée par Mike Virgilio (AWS), Andrea Di Fabio (AWS) et Jay Durga (AWS)

Récapitulatif

Prowler (GitHub) est un outil de ligne de commande open source qui peut vous aider à évaluer, auditer et surveiller vos comptes Amazon Web Services (AWS) afin de garantir leur conformité aux meilleures pratiques en matière de sécurité. Dans ce modèle, vous déployez Prowler de manière centralisée Compte AWS au sein de votre organisation, géré par AWS Organizations, puis vous utilisez Prowler pour effectuer une évaluation de sécurité de tous les comptes de l'organisation.

Bien qu'il existe de nombreuses méthodes pour déployer et utiliser Prowler à des fins d'évaluation, cette solution a été conçue pour un déploiement rapide, une analyse complète de tous les comptes de l'organisation ou des comptes cibles définis, et des rapports accessibles sur les résultats de sécurité. Dans cette solution, lorsque Prowler termine l'évaluation de la sécurité de tous les comptes de l'organisation, il consolide les résultats. Il filtre également tous les messages d'erreur attendus, tels que les erreurs liées aux restrictions qui empêchent Prowler de scanner les compartiments Amazon Simple Storage Service (Amazon S3) dans les comptes approvisionnés par le biais de ce service. AWS Control Tower Les résultats filtrés et consolidés sont présentés dans un modèle Microsoft Excel inclus dans ce modèle. Vous pouvez utiliser ce rapport pour identifier les améliorations potentielles des contrôles de sécurité au sein de votre organisation.

Cette solution a été conçue avec les éléments suivants à l'esprit :

  • Les AWS CloudFormation modèles réduisent l'effort requis pour déployer les AWS ressources selon ce modèle.

  • Vous pouvez ajuster les paramètres des CloudFormation modèles et du script prowler_scan.sh au moment du déploiement afin de personnaliser les modèles en fonction de votre environnement.

  • Les vitesses d'évaluation et de génération de rapports de Prowler sont optimisées grâce au traitement parallèle des résultats agrégés Comptes AWS, à des rapports consolidés avec des mesures correctives recommandées et à des visualisations générées automatiquement.

  • L'utilisateur n'a pas besoin de surveiller la progression de l'analyse. Lorsque l'évaluation est terminée, l'utilisateur est averti via une rubrique Amazon Simple Notification Service (Amazon SNS) afin qu'il puisse récupérer le rapport.

  • Le modèle de rapport vous permet de lire et d'évaluer uniquement les résultats pertinents pour l'ensemble de votre organisation.

Conditions préalables et limitations

Prérequis

  • Et Compte AWS pour héberger des services et outils de sécurité, gérés en tant que compte membre d'une organisation dans AWS Organizations. Dans ce modèle, ce compte est appelé compte de sécurité.

  • Dans le compte de sécurité, vous devez disposer d'un sous-réseau privé avec accès Internet sortant. Pour obtenir des instructions, consultez la section VPC avec serveurs dans des sous-réseaux privés et NAT dans la documentation Amazon Virtual Private Cloud (Amazon VPC). Vous pouvez établir un accès à Internet à l'aide d'une passerelle NAT configurée dans un sous-réseau public.

  • Accès au compte AWS Organizations de gestion ou à un compte doté d'autorisations d'administrateur déléguées pour CloudFormation. Pour obtenir des instructions, voir Enregistrer un administrateur délégué dans la CloudFormation documentation.

  • Activez un accès fiable entre AWS Organizations et CloudFormation. Pour obtenir des instructions, consultez la section Activer l'accès sécurisé avec AWS Organizations dans la CloudFormation documentation.

Limites

  • La cible Comptes AWS doit être gérée en tant qu'organisation dans AWS Organizations. Si vous ne l'utilisez pas AWS Organizations, vous pouvez mettre à jour le CloudFormation modèle IAM- ProwlerExecRole .yaml et le script prowler_scan.sh pour votre environnement. Au lieu de cela, vous fournissez une liste Compte AWS IDs des régions dans lesquelles vous souhaitez exécuter le script.

  • Le CloudFormation modèle est conçu pour déployer l'instance Amazon Elastic Compute Cloud (Amazon EC2) dans un sous-réseau privé doté d'un accès Internet sortant. L' AWS Systems Manager agent (agent SSM) a besoin d'un accès sortant pour atteindre le point de terminaison du AWS Systems Manager service, et vous avez besoin d'un accès sortant pour cloner le référentiel de code et installer les dépendances. Si vous souhaitez utiliser un sous-réseau public, vous devez modifier le modèle prowler-resources.yaml pour associer une adresse IP élastique à l'instance. EC2

Versions du produit

  • Prowler version 4.0 ou ultérieure

Architecture

Schéma d'architecture avec Prowler déployé dans un compte de sécurité centralisé.

Le schéma montre le processus suivant :

  1. À l'aide du Gestionnaire de session, une fonctionnalité de AWS Systems Manager, l'utilisateur s'authentifie auprès de l' EC2 instance et exécute le script prowler_scan.sh. Ce script shell exécute les étapes 2 à 8.

  2. L' EC2 instance assume le rôle ProwlerEC2Role IAM, qui accorde des autorisations pour accéder au compartiment S3 et pour assumer les rôles ProwlerExecRole IAM dans les autres comptes de l'organisation.

  3. L' EC2 instance assume le rôle ProwlerExecRole IAM dans le compte de gestion de l'organisation et génère une liste des comptes de l'organisation.

  4. L' EC2 instance assume le rôle ProwlerExecRole IAM dans les comptes membres de l'organisation (appelés comptes de charge de travail dans le schéma d'architecture) et effectue une évaluation de la sécurité de chaque compte. Les résultats sont stockés sous forme de fichiers CSV et HTML sur l' EC2 instance.

    Note

    Les fichiers HTML sont le résultat de l'évaluation Prowler. En raison de la nature du HTML, ils ne sont pas concaténés, traités ou utilisés directement dans ce modèle. Toutefois, ils peuvent être utiles pour l'examen des rapports de compte individuels.

  5. L' EC2 instance traite tous les fichiers CSV pour supprimer les erreurs connues et attendues et consolide les résultats restants dans un seul fichier CSV.

  6. L' EC2 instance regroupe les résultats des comptes individuels et les résultats agrégés dans un fichier zip.

  7. L' EC2 instance télécharge le fichier zip dans le compartiment S3.

  8. Une EventBridge règle détecte le téléchargement du fichier et utilise une rubrique Amazon SNS pour envoyer un e-mail à l'utilisateur l'informant que l'évaluation est terminée.

  9. L'utilisateur télécharge le fichier zip depuis le compartiment S3. L'utilisateur importe les résultats dans le modèle Excel et les examine.

Outils

Services AWS

  • Amazon Elastic Compute Cloud (Amazon EC2) fournit une capacité de calcul évolutive dans le AWS Cloud. Vous pouvez lancer autant de serveurs virtuels que vous le souhaitez et les augmenter ou les diminuer rapidement.

  • Amazon EventBridge est un service de bus d'événements sans serveur qui vous permet de connecter vos applications à des données en temps réel provenant de diverses sources. Par exemple, AWS Lambda des fonctions, des points de terminaison d'appel HTTP utilisant des destinations d'API ou des bus d'événements dans d'autres. Comptes AWS

  • AWS Identity and Access Management (IAM) vous aide à gérer en toute sécurité l'accès à vos AWS ressources en contrôlant qui est authentifié et autorisé à les utiliser.

  • AWS Organizationsest un service de gestion de comptes qui vous aide à Comptes AWS en regrouper plusieurs au sein d'une organisation que vous créez et gérez de manière centralisée.

  • Amazon Simple Notification Service (Amazon SNS) vous aide à coordonner et à gérer l'échange de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail.

  • Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.

  • AWS Systems Managervous aide à gérer vos applications et votre infrastructure exécutées dans le AWS Cloud. Il simplifie la gestion des applications et des ressources, réduit le délai de détection et de résolution des problèmes opérationnels et vous aide à gérer vos AWS ressources en toute sécurité à grande échelle. Ce modèle utilise Session Manager, une fonctionnalité de Systems Manager.

Autres outils

  • Prowler est un outil de ligne de commande open source qui vous permet d'évaluer, d'auditer et de surveiller la conformité de vos comptes aux meilleures pratiques de AWS sécurité et aux autres cadres et normes de sécurité.

Référentiel de code

Le code de ce modèle est disponible dans l'évaluation de la sécurité GitHub multi-comptes via le référentiel Prowler. Le référentiel de code contient les fichiers suivants :

  • prowler_scan.sh — Ce script bash est utilisé pour démarrer une évaluation de sécurité multiple par Prowler, Comptes AWS en parallèle. Comme défini dans le fichier Prowler-Resources.yaml CloudFormationtemplate, ce script est automatiquement déployé dans le dossier de l'instance. usr/local/prowler EC2

  • Prowler-Resources.yaml — Vous utilisez ce CloudFormation modèle pour créer une pile dans le compte de sécurité de l'organisation. Ce modèle déploie toutes les ressources requises pour ce compte afin de prendre en charge la solution. Cette pile doit être déployée avant le modèle IAM- ProwlerExecRole .yaml. Nous vous déconseillons de déployer ces ressources dans un compte hébergeant des charges de travail de production critiques.

    Note

    Si cette pile est supprimée et redéployée, vous devez reconstruire l'ensemble de ProwlerExecRole piles afin de rétablir les dépendances entre comptes entre les rôles IAM.

  • IAM- ProwlerExecRole .yaml — Vous utilisez ce CloudFormation modèle pour créer un stack set qui déploie le rôle ProwlerExecRole IAM dans tous les comptes de l'organisation, y compris le compte de gestion.

  • prowler-report-template.xlsm — Vous utilisez ce modèle Excel pour traiter les résultats du Prowler. Les tableaux croisés dynamiques du rapport fournissent des fonctionnalités de recherche, des graphiques et des résultats consolidés.

Épopées

TâcheDescriptionCompétences requises

Clonez le référentiel de code.

  1. Dans une interface de ligne de commande, remplacez votre répertoire de travail par l'emplacement où vous souhaitez stocker les fichiers d'exemple.

  2. Entrez la commande suivante :

    git clone https://github.com/aws-samples/multi-account-security-assessment-via-prowler.git

AWS DevOps

Passez en revue les modèles.

  1. Dans le référentiel cloné, ouvrez les fichiers Prowler-Resources.yaml et IAM- .yaml. ProwlerExecRole

  2. Passez en revue les ressources créées par ces modèles et ajustez-les en fonction des besoins de votre environnement. Pour plus d'informations, consultez la section Utilisation des modèles dans la CloudFormation documentation.

  3. Enregistrez et fermez les fichiers Prowler-Resources.yaml et IAM- .yaml. ProwlerExecRole

AWS DevOps
TâcheDescriptionCompétences requises

Fournir des ressources dans le compte de sécurité.

À l'aide du modèle prowler-resources.yaml, vous créez une CloudFormation pile qui déploie toutes les ressources requises dans le compte de sécurité. Pour obtenir des instructions, consultez la section Création d'une pile dans la CloudFormation documentation. Tenez compte des points suivants lors du déploiement de ce modèle :

  1. Sur la page Spécifier le modèle, sélectionnez Le modèle est prêt, puis téléchargez le fichier prowler-resources.yaml.

  2. Sur la page Spécifier les détails de la pile, dans le champ Nom de la pile, entrezProwler-Resources.

  3. Dans la section Paramètres, entrez les informations suivantes :

    • VPCId— Sélectionnez un VPC dans le compte.

    • SubnetId— Sélectionnez un sous-réseau privé ayant accès à Internet.

      Remarque : Si vous sélectionnez un sous-réseau public, aucune adresse IP publique ne sera attribuée à l' EC2 instance car le CloudFormation modèle, par défaut, ne fournit ni n'attache d'adresse IP élastique.

    • InstanceType— Sélectionnez une taille d'instance en fonction du nombre d'évaluations parallèles :

      • Pour 10, choisissezr6i.large.

      • Pour 12, choisissezr6i.xlarge.

      • Pour 14 à 18 ans, choisissez. r6i.2xlarge

    • InstanceImageId— Conservez la valeur par défaut pour Amazon Linux.

    • KeyPairName— Si vous utilisez SSH pour l'accès, spécifiez le nom d'une paire de clés existante.

    • PermittedSSHInbound— Si vous utilisez SSH pour l'accès, spécifiez un bloc CIDR autorisé. Si vous n'utilisez pas SSH, conservez la valeur par défaut de127.0.0.1.

    • BucketName— La valeur par défaut estprowler-output-<accountID>-<region>. Vous pouvez le modifier selon vos besoins. Si vous spécifiez une valeur personnalisée, l'ID du compte et la région sont automatiquement ajoutés à la valeur spécifiée.

    • EmailAddress— Spécifiez une adresse e-mail pour une notification Amazon SNS lorsque Prowler termine l'évaluation et télécharge le fichier .zip dans le compartiment S3.

      Remarque : La configuration de l'abonnement SNS doit être confirmée avant que Prowler ne termine l'évaluation, faute de quoi aucune notification ne sera envoyée.

    • IAMProwlerEC2Role— Conservez la valeur par défaut, sauf si vos conventions de dénomination exigent un nom différent pour ce rôle IAM.

    • IAMProwlerExecRole— Conservez la valeur par défaut à moins qu'un autre nom ne soit utilisé lors du déploiement du fichier IAM- ProwlerExecRole .yaml.

    • Parallelism— Spécifiez le nombre d'évaluations parallèles à effectuer. Assurez-vous que la valeur du InstanceType paramètre prend en charge ce nombre d'évaluations parallèles.

    • FindingOutput— Si vous souhaitez exclure les résultats de réussite, sélectionnezFailOnly. Cela réduit considérablement la taille de sortie et se concentre sur les vérifications qui pourraient devoir être résolues. Si vous souhaitez inclure les résultats de réussite, sélectionnezFailAndPass.

  4. Sur la page de révision, sélectionnez Les ressources suivantes nécessitent des fonctionnalités : [AWS::IAM::Role], puis choisissez Create Stack.

  5. Une fois la pile créée avec succès, dans la CloudFormation console, dans l'onglet Outputs, copiez le ProwlerEC2Role Amazon Resource Name (ARN). Vous utiliserez cet ARN ultérieurement lors du déploiement du fichier IAM- ProwlerExecRole .yaml.

AWS DevOps

Attribuez le rôle IAM dans les comptes des membres.

Dans le compte AWS Organizations de gestion ou dans un compte doté d'autorisations d'administrateur déléguées pour CloudFormation, utilisez le modèle IAM- ProwlerExecRole .yaml pour créer un CloudFormation stack set. Le stack set déploie le rôle ProwlerExecRole IAM dans tous les comptes membres de l'organisation. Pour obtenir des instructions, consultez la section Créer un ensemble de piles avec des autorisations gérées par les services dans la CloudFormation documentation. Tenez compte des points suivants lors du déploiement de ce modèle :

  1. Sous Préparer le modèle, sélectionnez Le modèle est prêt, puis téléchargez le fichier IAM- ProwlerExecRole .yaml.

  2. Sur la page Spécifier StackSet les détails, nommez l'ensemble de pilesIAM-ProwlerExecRole.

  3. Dans la section Paramètres, entrez les informations suivantes :

    • AuthorizedARN— Entrez l'ProwlerEC2RoleARN que vous avez copié lors de la création de la Prowler-Resources pile.

    • ProwlerExecRoleName— Conservez la valeur par défaut, ProwlerExecRole sauf si un autre nom a été utilisé lors du déploiement du fichier Prowler-Resources.yaml.

  4. Sous Autorisations, choisissez Autorisations gérées par le service.

  5. Sur la page Définir les options de déploiement, sous Cibles de déploiement, choisissez Déployer vers l'organisation et acceptez toutes les valeurs par défaut.

    Remarque : Si vous souhaitez que les piles soient déployées simultanément sur tous les comptes membres, définissez le nombre maximal de comptes simultanés et la tolérance d'échec sur une valeur élevée, telle que100.

  6. Sous Régions de déploiement, choisissez l' Région AWS endroit où l' EC2 instance de Prowler est déployée. Les ressources IAM étant mondiales et non régionales, le rôle IAM est déployé dans toutes les régions actives.

  7. Sur la page de révision, sélectionnez Je reconnais que des ressources IAM AWS CloudFormation peuvent être créées avec des noms personnalisés, puis choisissez Créer StackSet.

  8. Surveillez l'onglet Stack instances (pour le statut des comptes individuels) et l'onglet Opérations (pour le statut général) afin de déterminer quand le déploiement est terminé.

AWS DevOps

Attribuez le rôle IAM dans le compte de gestion.

À l'aide du modèle IAM- ProwlerExecRole .yaml, vous créez une CloudFormation pile qui déploie le rôle ProwlerExecRole IAM dans le compte de gestion de l'organisation. Le stack set que vous avez créé précédemment ne déploie pas le rôle IAM dans le compte de gestion. Pour obtenir des instructions, consultez la section Création d'une pile dans la CloudFormation documentation. Tenez compte des points suivants lors du déploiement de ce modèle :

  1. Sur la page Spécifier le modèle, sélectionnez Le modèle est prêt, puis téléchargez le fichier IAM- ProwlerExecRole .yaml.

  2. Sur la page Spécifier les détails de la pile, dans le champ Nom de la pile, entrezIAM-ProwlerExecRole.

  3. Dans la section Paramètres, entrez les informations suivantes :

    • AuthorizedARN— Entrez l'ProwlerEC2RoleARN que vous avez copié lors de la création de la Prowler-Resources pile.

    • ProwlerExecRoleName— Conservez la valeur par défaut, ProwlerExecRole sauf si un autre nom a été utilisé lors du déploiement du fichier Prowler-Resources.yaml.

  4. Sur la page de révision, sélectionnez Les ressources suivantes nécessitent des fonctionnalités : [AWS::IAM::Role], puis choisissez Create Stack.

AWS DevOps
TâcheDescriptionCompétences requises

Lancez le scan.

  1. Connectez-vous au compte de sécurité de l'organisation.

  2. À l'aide du gestionnaire de session, connectez-vous à l' EC2 instance de Prowler que vous avez précédemment provisionnée. Pour obtenir des instructions, voir Se connecter à votre instance Linux à l'aide du gestionnaire de session. Si vous ne parvenez pas à vous connecter, consultez la section Dépannage de ce modèle.

  3. Accédez au fichier prowler_scan.sh usr/local/prowler, puis ouvrez-le.

  4. Passez en revue et modifiez les paramètres et variables ajustables de ce script en fonction des besoins de votre environnement. Pour plus d'informations sur les options de personnalisation, consultez les commentaires au début du script.

    Par exemple, au lieu d'obtenir une liste de tous les comptes membres de l'organisation à partir du compte de gestion, vous pouvez modifier le script pour spécifier le Compte AWS IDs ou Régions AWS que vous souhaitez scanner, ou vous pouvez faire référence à un fichier externe contenant ces paramètres.

  5. Enregistrez et fermez le fichier prowler_scan.sh.

  6. Entrez les commandes suivantes : Cela exécute le script prowler_scan.sh.

    sudo -i
screen
cd /usr/local/prowler
./prowler_scan.sh

    Remarques :

    • La commande screen permet au script de continuer à s'exécuter en cas d'expiration de la connexion ou de perte de l'accès à la console.

    • Une fois le scan lancé, vous pouvez forcer le détachement de l'écran en appuyant sur Ctrl+A D. L'écran se détache et vous pouvez fermer la connexion à l'instance et autoriser l'évaluation à se poursuivre.

    • Pour reprendre une session détachée, connectez-vous à l'instance, entrez sudo -i puis entrezscreen -r.

    • Pour suivre la progression des évaluations des comptes individuels, vous pouvez accéder au usr/local/prowler répertoire et saisir la commandetail -f output/stdout-<account-id>.

  7. Attendez que Prowler ait terminé les scans de tous les comptes. Le script évalue plusieurs comptes en même temps. Lorsque l'évaluation est terminée dans tous les comptes, vous recevez une notification si vous avez indiqué une adresse e-mail lors du déploiement du fichier Prowler-Resources.yaml.

Administrateur AWS

Récupérez les découvertes du Prowler.

  1. Téléchargez le prowler-output-<assessDate>.zip fichier depuis le prowler-output-<accountID>-<region> bucket. Pour obtenir des instructions, consultez la section Téléchargement d'un objet dans la documentation Amazon S3.

  2. Supprimez tous les objets du compartiment, y compris le fichier que vous avez téléchargé. Il s'agit d'une bonne pratique pour optimiser les coûts et pour vous assurer que vous pouvez supprimer la Prowler-Resources CloudFormation pile à tout moment. Pour obtenir des instructions, consultez Supprimer des objets dans la documentation Amazon S3.

AWS général

Arrêtez l' EC2 instance.

Pour empêcher la facturation lorsque l'instance est inactive, arrêtez l' EC2 instance qui exécute Prowler. Pour obtenir des instructions, consultez la section Arrêter et démarrer vos instances dans la EC2 documentation Amazon.

AWS DevOps
TâcheDescriptionCompétences requises

Importez les résultats.

  1. Dans Excel, ouvrez le fichier prowler-report-template.xlsx, puis sélectionnez la feuille de calcul Prowler CSV.

  2. Supprimez tous les exemples de données, y compris la ligne d'en-tête. Si vous êtes invité à supprimer la requête associée aux données supprimées, choisissez Non. La suppression de la requête peut affecter la fonctionnalité des tableaux croisés dynamiques dans le modèle Excel.

  3. Extrayez le contenu du fichier zip que vous téléchargez depuis le compartiment S3.

  4. Dans Excel, ouvrez le fichier prowler-fullorgresults-accessdeniedfiltered.txt. Nous vous recommandons d'utiliser ce fichier car les erreurs non exploitables les plus courantes ont déjà été supprimées, telles que les Access Denied erreurs liées aux tentatives d'analyse des AWS Control Tower ressources. Si vous souhaitez obtenir les résultats non filtrés, ouvrez plutôt le fichier prowler-fullorgresults.txt.

  5. Sélectionnez la colonne A.

  6. Si vous utilisez Windows, entrez Ctrl+C, ou si vous utilisez macOS, entrez Cmd+C. Toutes les données sont alors copiées dans le presse-papiers.

  7. Dans le modèle de rapport Excel, sur la feuille de calcul Prowler CSV, sélectionnez la cellule A1.

  8. Si vous utilisez Windows, entrez Ctrl+V, ou si vous utilisez macOS, entrez Cmd+V. Cela permet de coller les résultats dans le rapport.

  9. Vérifiez que toutes les cellules contenant les données collées sont sélectionnées. Dans le cas contraire, sélectionnez la colonne A.

  10. Dans l'onglet Données, sélectionnez Texte en colonnes.

  11. Dans l'assistant, procédez comme suit :

    • Pour l'étape 1, choisissez Délimité.

    • Pour l'étape 2, pour Délimiteurs, choisissez Point-virgule. Dans le volet d'aperçu des données, vérifiez que les données sont séparées en colonnes.

    • Pour l'étape 3, choisissez Terminer.

  12. Vérifiez que les données de texte sont délimitées sur plusieurs colonnes.

  13. Enregistrez le rapport Excel sous un nouveau nom.

  14. Recherchez et supprimez toute Access Denied erreur dans les résultats. Pour obtenir des instructions sur la façon de les supprimer par programmation, consultez la section Suppression par programmation des erreurs dans la section Informations supplémentaires.

AWS général

Finalisez le rapport.

  1. Choisissez la feuille de travail Conclusions, puis sélectionnez la cellule A17. Cette cellule est l'en-tête du tableau croisé dynamique.

  2. Dans le ruban, sous PivotTable Outils, choisissez Analyser, puis sous Actualiser, choisissez Actualiser tout. Cela met à jour les tableaux croisés dynamiques avec le nouvel ensemble de données.

  3. Par défaut, Excel n'affiche pas correctement Compte AWS les nombres. Pour corriger le formatage des nombres, procédez comme suit :

    • Dans la feuille de travail Résultats, ouvrez le menu contextuel (clic droit) de la colonne A, puis choisissez Formater les cellules.

    • Choisissez Nombre, puis entrez 0 au décimal.

    • Choisissez OK.

    Remarque : Si un Compte AWS nombre commence par un ou plusieurs zéros, Excel supprime automatiquement les zéros. Si le numéro de compte comporte moins de 12 chiffres dans le rapport, les chiffres manquants sont des zéros au début du numéro.

  4. (Facultatif) Vous pouvez réduire les champs pour faciliter la lecture des résultats. Procédez comme suit :

    • Dans la feuille de travail Constatations, si vous déplacez le curseur sur la ligne située entre les lignes 18 et 19 (l'espace entre l'en-tête critique et le premier résultat), l'icône du curseur se transforme en une petite flèche pointant vers le bas.

    • Cliquez pour sélectionner tous les champs de recherche.

    • Ouvrez le menu contextuel (clic droit), recherchez Développer/Réduire, puis choisissez Réduire.

  5. Pour plus de détails sur l'évaluation, consultez les feuilles de travail sur les résultats, la gravité et l'échec réussi.

AWS général
TâcheDescriptionCompétences requises

Mettez à jour Prowler.

Si vous souhaitez mettre à jour Prowler vers la dernière version, procédez comme suit :

  1. Connectez-vous à l' EC2 instance de Prowler à l'aide du gestionnaire de session. Pour obtenir des instructions, voir Se connecter à votre instance Linux à l'aide du gestionnaire de session.

  2. Entrez la commande suivante.

    sudo -i
pip3 install --upgrade prowler
AWS général

Mettez à jour le script prowler_scan.sh.

Si vous souhaitez mettre à jour le script prowler_scan.sh vers la dernière version du dépôt, procédez comme suit :

  1. Connectez-vous à l' EC2 instance de Prowler à l'aide du gestionnaire de session. Pour obtenir des instructions, voir Se connecter à votre instance Linux à l'aide du gestionnaire de session.

  2. Entrez la commande suivante.

    sudo -i

  3. Accédez au répertoire des scripts Prowler.

    cd /usr/local/prowler

  4. Entrez la commande suivante pour stocker le script local afin de pouvoir fusionner les modifications personnalisées dans la version la plus récente.

    git stash

  5. Entrez la commande suivante pour obtenir la dernière version du script.

    git pull

  6. Entrez la commande suivante pour fusionner le script personnalisé avec la dernière version du script.

    git stash pop
Note

Vous pouvez recevoir des avertissements concernant des fichiers générés localement qui ne figurent pas dans le GitHub dépôt, tels que la recherche de rapports. Vous pouvez les ignorer tant que le fichier prowler_scan.sh indique que les modifications stockées localement sont réintégrées.

AWS général
TâcheDescriptionCompétences requises

Supprimez toutes les ressources déployées.

Vous pouvez laisser les ressources déployées dans les comptes. Si vous arrêtez l' EC2 instance lorsqu'elle n'est pas utilisée et que vous laissez le compartiment S3 vide, cela réduit les coûts de maintenance des ressources pour les futures analyses.

Si vous souhaitez déprovisionner toutes les ressources, procédez comme suit :

  1. Supprimez la IAM-ProwlerExecRole pile provisionnée dans le compte de gestion. Pour obtenir des instructions, consultez la section Suppression d'une pile dans la CloudFormation documentation.

  2. Supprimez le IAM-ProwlerExecRole stack set provisionné dans le compte de gestion de l'organisation ou dans le compte d'administrateur délégué. Pour obtenir des instructions, voir Supprimer un ensemble de piles dans la CloudFormation documentation.

  3. Supprimez tous les objets du compartiment prowler-output S3. Pour obtenir des instructions, consultez Supprimer des objets dans la documentation Amazon S3.

  4. Supprimez la Prowler-Resources pile provisionnée dans le compte de sécurité. Pour obtenir des instructions, consultez la section Suppression d'une pile dans la CloudFormation documentation.

AWS DevOps

Résolution des problèmes

ProblèmeSolution

Impossible de se connecter à l' EC2 instance à l'aide du gestionnaire de session.

L'agent SSM doit être capable de communiquer avec le point de terminaison Systems Manager. Procédez comme suit :

  1. Vérifiez que le sous-réseau sur lequel l' EC2 instance est déployée dispose d'un accès Internet.

  2. Redémarrez l' EC2 instance.

Lorsque vous déployez le stack set, la CloudFormation console vous invite àEnable trusted access with AWS Organizations to use service-managed permissions.

Cela indique que l'accès sécurisé n'a pas été activé entre AWS Organizations et CloudFormation. Un accès sécurisé est requis pour déployer le stack set géré par les services. Cliquez sur le bouton pour activer l'accès sécurisé. Pour plus d'informations, consultez la section Activer l'accès sécurisé dans la CloudFormation documentation.

Ressources connexes

AWS documentation

Autres ressources

Informations supplémentaires

Suppression des erreurs par programmation

Si les résultats contiennent des Access Denied erreurs, vous devez les supprimer des résultats. Ces erreurs sont généralement dues à une influence externe sur les autorisations qui empêchent Prowler d'évaluer une ressource particulière. Par exemple, certaines vérifications échouent lors de l'examen des compartiments S3 provisionnés via. AWS Control Tower Vous pouvez extraire ces résultats par programmation et enregistrer les résultats filtrés dans un nouveau fichier.

Les commandes suivantes suppriment les lignes contenant une seule chaîne de texte (un modèle), puis affichent les résultats dans un nouveau fichier.

  • Pour Linux ou macOS (Grep)

    grep -v -i "Access Denied getting bucket" myoutput.csv > myoutput_modified.csv

  • Pour Windows (PowerShell)

    Select-String -Path myoutput.csv -Pattern 'Access Denied getting bucket' -NotMatch > myoutput_modified.csv

Les commandes suivantes suppriment les lignes correspondant à plusieurs chaînes de texte, puis affichent les résultats dans un nouveau fichier.

  • Pour Linux ou macOS (utilise un canal échappé entre les chaînes)

    grep -v -i 'Access Denied getting bucket\|Access Denied Trying to Get' myoutput.csv > myoutput_modified.csv

  • Pour Windows (utilise une virgule entre les chaînes)

    Select-String -Path myoutput.csv -Pattern 'Access Denied getting bucket', 'Access Denied Trying to Get' -NotMatch > myoutput_modified.csv

Exemples de rapports

L'image suivante est un exemple de la feuille de travail Conclusions du rapport sur les résultats consolidés de Prowler.

Exemple de l'onglet Résultats dans le rapport des résultats du scan Prowler

L'image suivante est un exemple de la feuille de travail Pass Fail figurant dans le rapport des résultats consolidés de Prowler. (Par défaut, les résultats de réussite sont exclus de la sortie.)

Exemple de l'onglet Pass Fail dans le rapport des résultats du scan Prowler

L'image suivante est un exemple de la feuille de travail sur la gravité figurant dans le rapport des résultats consolidés de Prowler.

Exemple de l'onglet Sévérité dans le rapport des résultats du scan Prowler